TL;DR. Un bandeau cookies conforme au RGPD informe clairement l'utilisateur, propose un choix réel (refuser doit être aussi simple qu'accepter), ne pré-coche aucune case et permet de retirer son consentement à tout moment. La plupart des bandeaux échouent parce qu'ils sont conçus pour pousser au consentement, et non pour le recueillir librement.
La vérité gênante du web européen est simple. Une grande partie des bandeaux cookies que vous croisez chaque jour ne sont pas conformes au RGPD. Ils utilisent des couleurs, des formulations et des hiérarchies de boutons pensées pour obtenir un oui rapide. La CNIL appelle cela des interfaces trompeuses, ou dark patterns, et elle a publié en 2022 des recommandations précises sur le sujet. Dans cet article, nous analysons des exemples de bons et de mauvais bandeaux, puis nous vous donnons des modèles de texte prêts à adapter, ainsi qu'une liste de contrôle complète.
Qu'est-ce qui rend un bandeau cookies conforme au RGPD ?
Un bandeau est conforme lorsqu'il permet un consentement libre, spécifique, éclairé et univoque. Concrètement, l'utilisateur doit pouvoir refuser sans effort supplémentaire, comprendre à quoi il consent, et changer d'avis facilement. Le bandeau n'est donc pas un simple élément graphique : c'est le mécanisme juridique qui prouve que vous avez recueilli un accord valable avant de déposer des traceurs non essentiels.
Les 4 éléments obligatoires
Premièrement, une information claire. L'utilisateur doit savoir quelles catégories de cookies sont utilisées et dans quel but, dans un langage simple, sans jargon technique inutile. Deuxièmement, un choix réel. Le bouton refuser doit être visible et accessible au même niveau que le bouton accepter, dès le premier écran. Troisièmement, aucune case pré-cochée. Le consentement doit résulter d'une action positive, jamais d'une inaction ou d'une case déjà activée. Quatrièmement, un retrait facile. Retirer son consentement doit être aussi simple que de l'avoir donné, par exemple via un lien permanent en pied de page accessible sur toutes les pages.
Pour aller plus loin sur ce que recouvre un consentement valable, consultez notre guide sur les conditions de validité du consentement RGPD. Il détaille chacun des quatre critères et leur portée juridique.
Un détail souvent oublié : ces quatre éléments doivent coexister. Un bandeau peut afficher une information parfaite et offrir des catégories granulaires, mais s'il pré-coche une seule case ou enterre le bouton refuser, il devient non conforme. La conformité ne se mesure pas au plus beau de vos boutons, mais au plus faible. C'est pourquoi un audit honnête passe en revue chaque critère séparément, sans se contenter d'une impression globale.
Ce que le bouton de consentement doit dire (sans dark patterns)
Le libellé des boutons compte autant que leur design. Utilisez des termes neutres et symétriques : Tout accepter et Tout refuser. Évitez les formulations culpabilisantes du type Non merci, je préfère une expérience dégradée. Évitez aussi de présenter le refus comme un paramètre caché derrière plusieurs clics. Le principe directeur de la CNIL est l'équivalence : refuser doit demander le même nombre de clics et le même effort qu'accepter. Un bandeau qui place le refus à deux ou trois niveaux de profondeur trahit ce principe, même si le mot refuser y figure quelque part.
Bons exemples de bandeaux cookies (avec analyse)
Voici cinq modèles qui respectent l'esprit et la lettre du RGPD. Aucun n'a besoin d'image pour être compris : ce qui compte est la structure et le texte.
Exemple 1 : le bandeau en couches. Une première couche affiche un résumé court (pourquoi des cookies, catégories principales) avec un lien En savoir plus qui ouvre le détail. L'utilisateur n'est pas noyé sous l'information, mais il y accède en un clic. Ce qu'il fait bien : il combine concision et transparence, sans sacrifier l'une à l'autre.
Exemple 2 : des boutons d'égale importance. Tout accepter et Tout refuser ont la même taille, la même couleur et la même position. Aucun n'est mis en avant visuellement. Ce qu'il fait bien : il neutralise le biais visuel et respecte l'équivalence demandée par la CNIL.
Exemple 3 : des catégories granulaires. Le bandeau propose des cases distinctes pour les cookies fonctionnels, de mesure d'audience et marketing, toutes décochées par défaut sauf les cookies strictement nécessaires. Ce qu'il fait bien : il permet un consentement spécifique, catégorie par catégorie, plutôt qu'un accord global imposé.
Exemple 4 : un accès permanent aux préférences. Un lien Gérer les cookies reste disponible en pied de page après la fermeture du bandeau. Ce qu'il fait bien : il rend le retrait du consentement aussi simple que son octroi, à tout moment de la navigation.
Exemple 5 : une formulation honnête. Le texte n'assimile jamais la navigation à un consentement. Il ne dit pas En continuant, vous acceptez. Il attend une action explicite de l'utilisateur. Ce qu'il fait bien : il respecte le caractère univoque du consentement exigé par le règlement.
Ces cinq modèles ne s'excluent pas. Le meilleur bandeau les combine : une première couche concise et honnête, deux boutons symétriques, un accès aux catégories en un clic, et un lien permanent pour revenir sur son choix. Vous n'avez pas besoin d'un design sophistiqué, seulement d'une structure loyale. Sur mobile, vérifiez en plus que le bouton refuser reste pleinement visible sans défilement, car c'est souvent là que l'équivalence se brise.
Mauvais exemples de bandeaux cookies (dark patterns à éviter)
Les pratiques suivantes sont régulièrement pointées du doigt par la CNIL. Elles donnent l'illusion d'un choix tout en orientant fortement la décision.
Cases pré-cochées. Une case déjà cochée ne vaut pas consentement. La Cour de justice de l'Union européenne l'a confirmé dans l'affaire Planet49 : le silence ou l'inaction ne peuvent valoir accord.
Bouton refuser caché. Proposer Tout accepter en évidence et reléguer le refus derrière un lien Paramètres en petits caractères rompt l'équivalence et constitue une interface trompeuse.
Langage confus. Des phrases comme J'accepte pour continuer ma navigation mélangent consentement et accès au site. L'utilisateur ne sait plus s'il consent ou s'il valide simplement l'accès. C'est trompeur.
Retrait plus difficile que l'octroi. Si accepter prend un clic mais refuser en demande cinq, le bandeau est non conforme. La symétrie doit valoir aussi bien au moment de l'octroi que du retrait.
Hiérarchie de couleurs. Un bouton accepter vert et bien visible face à un bouton refuser gris, petit ou peu contrasté oriente le choix. C'est un dark pattern classique, même si les deux boutons sont présents.
Ces pratiques nuisent aussi à la confiance et, paradoxalement, à votre taux de consentement durable. Un consentement arraché est fragile et peut être contesté.
Un test utile pour repérer un dark pattern : demandez-vous si le design aide l'utilisateur à décider, ou s'il vous aide à obtenir une réponse précise. Si chaque indice visuel et textuel pointe vers le oui, le bandeau oriente au lieu d'informer. Un second test est le chronomètre : mesurez le temps nécessaire pour refuser par rapport au temps nécessaire pour accepter. Si refuser est nettement plus lent, vous avez un problème de conformité, quel que soit le libellé des boutons.
Pourquoi ces pratiques persistent-elles ? Souvent par habitude ou par crainte de perdre des données. Mais un bandeau trompeur expose à un double risque : une sanction de la CNIL, et une perte de confiance des visiteurs qui repèrent de plus en plus ces manipulations. Le calcul à court terme (maximiser le oui) se retourne à moyen terme. Mieux vaut un consentement plus rare mais solide, qu'un consentement massif mais juridiquement fragile.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Texte du bandeau cookies : que rédiger (modèles)
Les modèles ci-dessous sont à adapter à votre site, à vos finalités réelles et à votre langue. Ne copiez pas un texte qui ne correspond pas aux traceurs que vous déposez réellement. Un bon texte est court, concret et exempt de formules juridiques creuses.
Version courte (à adapter).
Nous utilisons des cookies pour assurer le fonctionnement du site et, avec votre accord, pour mesurer l'audience et personnaliser les contenus. Vous pouvez accepter, refuser, ou choisir par catégorie. Vous pourrez modifier votre choix à tout moment via le lien Gérer les cookies en pied de page.
Version complète (à adapter).
Ce site dépose des cookies. Les cookies strictement nécessaires assurent le fonctionnement de base et ne requièrent pas votre consentement. Les autres cookies, de mesure d'audience et de marketing, ne sont déposés qu'avec votre accord. Les cookies de mesure d'audience nous aident à comprendre l'usage du site. Les cookies marketing permettent de vous proposer des contenus adaptés. Vous pouvez tout accepter, tout refuser, ou paramétrer vos choix catégorie par catégorie. Aucune case n'est pré-cochée. Votre choix est conservé et vous pouvez le retirer ou le modifier à tout moment depuis le lien Gérer les cookies, sans que cela dégrade votre accès au contenu.
Quelques règles de rédaction utiles. Nommez les finalités réelles plutôt que des catégories vagues. Indiquez la durée de conservation si elle est pertinente. Évitez les négations multiples qui brouillent le sens. Et n'oubliez pas de mentionner les éventuels transferts de données hors Union européenne lorsque vos outils marketing l'impliquent, car cette information conditionne le caractère éclairé du consentement.
Liste de contrôle de conformité du bandeau cookies
- L'information est claire, en langage simple, et précise les catégories et les finalités.
- Le bouton Tout refuser est aussi visible et accessible que Tout accepter, dès le premier écran.
- Aucune case n'est pré-cochée, hors cookies strictement nécessaires.
- Le refus demande le même nombre de clics que l'acceptation.
- Les catégories (fonctionnel, mesure d'audience, marketing) sont distinctes et choisissables.
- Aucun cookie non essentiel n'est déposé avant le recueil du consentement.
- Un lien permanent permet de modifier ou de retirer le consentement à tout moment.
- Aucune formulation n'assimile la navigation à un consentement.
- Le design ne favorise visuellement aucun bouton.
- La preuve du consentement est conservée de manière horodatée.
Conclusion
Un bon bandeau cookies n'est pas une question d'esthétique mais de respect du choix de l'utilisateur. Information claire, symétrie des boutons, absence de cases pré-cochées et retrait facile : ces quatre principes suffisent à couvrir l'essentiel. Avant de modifier votre bandeau, sachez aussi qu'un cookie wall n'est légal que sous conditions, et qu'il ne doit jamais servir à contourner le droit au refus.
Prochaine étape : vérifiez votre site. Lancez un scan gratuit de vos cookies pour identifier en quelques minutes les cookies déposés et les points de non-conformité de votre bandeau.
Questions fréquentes
Le bouton refuser doit-il être au même niveau que le bouton accepter ?
Oui. La CNIL applique le principe d'équivalence : refuser doit être aussi simple qu'accepter, avec le même nombre de clics et une visibilité comparable. Reléguer le refus derrière un lien discret est considéré comme une interface trompeuse.
Une case pré-cochée vaut-elle consentement ?
Non. Le consentement doit résulter d'une action positive de l'utilisateur. La Cour de justice de l'Union européenne l'a confirmé dans l'affaire Planet49. Une case déjà cochée n'a aucune valeur juridique.
Puis-je déposer des cookies de mesure d'audience avant le consentement ?
En principe non, sauf cas précis de mesure d'audience exemptée respectant strictement les critères de la CNIL. Les cookies marketing et la plupart des cookies analytiques exigent un consentement préalable.
Comment permettre le retrait du consentement ?
Le moyen le plus simple est un lien permanent, par exemple Gérer les cookies, en pied de page. Il doit rouvrir le panneau de préférences et permettre de modifier ou de retirer chaque catégorie à tout moment.